据市场消息称，知名开发者 qix 因钓鱼攻击导致 npm 软件包被注入恶意代码，相关包包括 chalk、strip-ansi、color-convert 等。

攻击方式为挂钩钱包功能、篡改 ETH/SOL 交易收款地址及替换网络响应中的地址。用户建议：务必在钱包界面核对收款人和金额，检查粘贴后地址变化，复查近期交易，高价值操作优先使用硬件钱包。